Hoy vamos a explicar qué es un honeypot, llevábamos tiempo sin publicar nada acerca de la seguridad informática y hemos decidido retomar uno de los temas que más nos gustan. En esta entrada vamos a explicar en qué consiste esta técnica de seguridad informática y también de paso vamos a ver cómo podemos implementarlo.
Historia:
El término «honeypot», también conocido como «trampa de miel» viene del mundo de los espías, pero no de los espías informáticos…si no de los espías de verdad. Una trampa de miel usa el concepto de tender a tu enemigo una trampa mediante la cual poder sonsacar o sustraer información valiosa. ¿Pero qué tipo de trampa? pues una en la que él mismo acuda a ella y cuando se venga a dar cuenta ya le has sacado la información o has conseguido tu propósito. Mata Hari, la famosa espía holandesa usaba sus encantos femeninos y su increíble atractivo para relacionarse con altos cargos militares enemigos, que a menudo le revelaban (o ella sustraía) información valiosa. Esto, aunque parece algo ciertamente obsoleto o más bien de película es algo tan fácil y simple como efectivo.
Hace poco, rabinos judíos advertían que las atractivas agentes del Mossad que se acostaban con terroristas con fin de conseguir información valiosa para la seguridad nacional israelí no estaban pecando. (Ver noticia). Una trampa de miel clásica.
También el Gobierno de Israel avisaba al ejército de EEUU que no cayera en la «trampa de miel» que le planteaba (a su juicio) el presidente iraní Hassan Rohani. (Ver noticia)
Qué es un honeypot en informática:
Ahora que ya tenemos el concepto de honeypot, podemos explicar en qué consiste hacer un honeypot en informática. En términos de seguridad informática, un honeypot funciona de manera completamente similar: se crea una trampa atractiva para que los ciberdelincuentes caigan en ella y de esta manera conseguir lo que buscas. Dicho de otra manera, es un sistema informático que se sacrifica en post de atraer ciberataques, actuando como señuelo. Este sistema imita ser un objetivo para los atacantes y usa esos mismos intentos de intrusión para obtener información o símplemente desviar la posibilidad de sufrir ataques mayores.
Cómo funcionan los honeypots
Un honeypot está diseñado para parecer un objetivo real, con aplicaciones y datos aparentemente valiosos pero que en realidad son fake, datos falsos.
Un ejemplo práctico de esto podría ser imitar una falla de seguridad de datos de clientes en una empresa. Muchos ataques siempre pretenden robar datos valiosos, contraseñas, tarjetas de crédito y demás por ésto una práctica de honeypot puede ser dejar datos falsos que parezcan reales a la vista de los atacantes, de manera que los cojan creyendo que son reales y al entrar en ese sistema puedan ser rastreados. Mientras los datos reales están guardados y bien a salvo. Además con todos los datos que extraigas podrás hacer la red segura más potente y eficaz.
Los honeypots, se muestran muy eficaces, ya que aunque no estén configurados para abordar el problema en cuestión, ofrecen muchísima información valiosa, que ayuda a implementar mejoras.
Diferentes tipos de honeypots
Ahora que ya sabemos qué es un honeypot y como funciona, podemos analizar los diferentes tipos de honeypot.
Honeypot puro
Un honeypot es puro cuando imita completamente un sistema a gran escala ejecutado en producción. Se crea un sistema completamente falso. En un honeypot puro: los datos, información, formularios, y demás información «sensible» se hace parecer confidencial y fácilmente «hackeable». Muchas veces esta información de usuario , tiene una seris de sensores que se utilizan para observar la actividad de los acatantes.
Honeypot de alta interacción
Un honeypot de alta interacción se diseña para que los atacantes gasten el mayor tiempo posible dentro de este honeypot. Esto posibilita que el equipo de seguridad tenga más oportunidad de observar los objetivos y sus interacciones. De esta manera se consiguen más posibilidades de descubrir vulnerabilidades dentro del sistema.
Este tipo de honeypot puede usarse en sistemas completos, bases de datos y otros procesos susceptibles de ser atacados.
Honeypot de interacción media
Este tipo de honeypot imita elementos de capa de aplicación, pero no tienen un sistema operativo completo como en el caso de los honeypots puros o de alta interacción. En este caso son partes de un sistema, o subsistemas que se usan para confundir al atacante o despistarlo haciéndole hacer algo, para determinar cómo reaccionar ante el ataque en cuestión.
Honeypot de baja interacción
Los honeypots de baja interacción son simplemente maneras rudimentarias de recopilar información sobre el tipo de amenaza y su procedencia. Éstas son fáciles de configurar y se basan en protocolos TCP, IP y demás servicios de red. Estos honeypot no mantienen interacción real con el atacante ni están diseñados para rastrear sus pasos. Suelen ser un primer paso para basar las respuestas siguientes que se darán ante una situación.
Beneficios de un Honeypot
Los honeypots ofrecen varias ventajas para los equipos de seguridad, ya que actúan de manera pasiva. Son herramientas muy eficaces y fáciles de implementar para proporcionar todo tipo de datos. Esto, aunque no permita eliminar de por sí las amenazas, sí que ofrece muchísimos datos e información que te permite implementar la respuesta correcta para paliar los diferentes ataques.
